Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
Beide Seiten der vorigen Revision Vorhergehende Überarbeitung Nächste Überarbeitung | Vorhergehende Überarbeitung | ||
de:shibidp:prepare-http [2020/10/14 09:20] – Silke Meyer | de:shibidp:prepare-http [2022/07/07 10:02] (aktuell) – Abschnitt zu Backchannel-Kommunikation und Seltsamkeiten bei Zertifikatsvalidierung Silke Meyer | ||
---|---|---|---|
Zeile 4: | Zeile 4: | ||
<callout color="# | <callout color="# | ||
- | Die TCP-Ports 443 und 8443 müssen auf dem IdP für eingehende Zugriffe geöffnet sein! | + | Die TCP-Ports 443 und 8443 müssen auf dem IdP für eingehende Zugriffe geöffnet sein! Die Verwendung des Backchannels auf Port 8443 wird im [[https:// |
</ | </ | ||
Zeile 11: | Zeile 11: | ||
==== Installation ==== | ==== Installation ==== | ||
- | === Debian 10 === | + | === Debian 10/11 === |
<code bash> | <code bash> | ||
Zeile 269: | Zeile 269: | ||
</ | </ | ||
</ | </ | ||
+ | |||
+ | ===== Besonderheiten bei Backchannel Requests ===== | ||
+ | Der Backchannel auf Port 8443 für die Server-to-Server-Kommunikation ist für eine funktionierende IdP-Konfiguration heutzutage nicht mehr zwingend nötig. Die obige Webserver-Konfiguration zeigt den Standardfall, | ||
+ | |||
+ | Wenn ein Shibboleth Service Provider eine [[https:// | ||
+ | * eine Attribute Query auf Port 8443 gestellt wird oder | ||
+ | * ein Single Logout Request via SOAP auf Port 8443 gestellt wird. | ||
+ | Stellt derselbe SP die beiden Anfragen an Port 443, so ignoriert er das fehlende Vertrauen und baut eine Verbindung zum IdP auf, obwohl das Zertifikat am Webserver dem in den Metadaten publizierten Zertifikat nicht entspricht. | ||
+ | |||
+ | Um sicherzustellen, | ||
+ | |||
+ | |||
+ | <file apache / | ||
+ | < | ||
+ | ServerName | ||
+ | |||
+ | SSLEngine on | ||
+ | SSLCertificateFile | ||
+ | SSLCertificateKeyFile | ||
+ | | ||
+ | # REST WIE OBEN | ||
+ | |||
+ | </ | ||
+ | |||
+ | ################################################ | ||
+ | |||
+ | < | ||
+ | # Hier muss der Port im Servername genannt werden, | ||
+ | # damit das abweichende Zertifikat genutzt wird. | ||
+ | ServerName | ||
+ | |||
+ | SSLEngine on | ||
+ | SSLCertificateFile | ||
+ | SSLCertificateKeyFile | ||
+ | |||
+ | # REST WIE OBEN | ||
+ | |||
+ | </ | ||
+ | |||
+ | </ | ||
===== Testen der Verbindung Apache --> Tomcat ===== | ===== Testen der Verbindung Apache --> Tomcat ===== | ||
Zeile 288: | Zeile 328: | ||
* [[https:// | * [[https:// | ||
- | Weiter geht es mit der [[de: | + | {{tag> |
- | + | ||
- | {{tag> | + |